quarta-feira, 27 de janeiro de 2016

b

Gestão de Continuidade de Negócios - Qual a importância?
 
Muitas empresas no Brasil ainda acham que Deus é brasileiro e que pensar em situações adversas é um exagero. Quanto esforço e investimento uma empresa precisa para realmente estar PREPARADA? Quantas áreas precisam interagir? Quantos indicadores e métricas precisam estar alinhados para monitorar adequadamente? É um assunto estratégico ou de TI – Tecnologia da Informação?
Trabalhando com Gestão de Riscos, TI e Continuidade há alguns anos, pude acompanhar as mudanças do mercado e creio que agora estamos num momento ímpar para falar de PREVENÇÃO e PREPARAÇÃO. Note que, as tecnologias (computadores, câmeras, sensores etc.) ficaram menos ‘assustadores’ e mais integrados ao dia a dia das pessoas comuns. Note que, uma infraestrutura predial e de escritórios já não é a mesma sem muita tecnologia embarcada e sensores para todos os lados. Note que, de cinco a sete anos as pessoas irão interagir cada vez mais com os escritórios e o conceito de casa-escritório será bem real. Note que, uma mulher hoje em dia briga com o marido porque a Internet “caiu” em casa!
Em menos de 20 anos saímos de megaestruturas e escritórios amplos para uma racionalização e otimização incrível. E isto seria possível sem a tecnologia? A pressão do alto custo faz com que a tecnologia adapte-se, fique menor e mais barata.
Atualmente uma empresa precisa entender que gestão de riscos é 360 graus, ou seja, não se fala mais de segurança sem uma convergência de fatores importantes respeitando: pessoas, processos e tecnologias. Por mais tecnologias implementadas, pessoas e processos são necessários no dia a dia e para situações de crises ou desastres. Uma empresa é formada por camadas que começam com pessoas e suas capacidades, depois por processos e seus fluxos e, por último, por tecnologias que suportam parcial ou totalmente estes processos. Toda organização possui processos.
Para entendermos melhor o que o mercado mundial espera e exigirá das empresas quanto à gestão de riscos nos próximos dez anos, veja a figura 1.
Cada um dos domínios apresentados na figura 1 refere-se a um processo que precisa existir e ser VERDADEIRO na empresa, não apenas para entregar relatórios para auditorias. Precisarão ser sinérgicos e trocar informações. Trata-se da inteligência de riscos ou da Governança Estratégica dos riscos.
A tendência mundial, principalmente nas bolsas de valores, é cobrar uma resiliência empresarial maior. Índices de risco (risk ratings) mais completos e holísticos. Ninguém quer mais acordar pela manhã e ter ações na mão de empresas que faliram num desastre como em 11 de Setembro de 2001 (EUA) ou estão envolvidas em escândalos financeiros ou fraudes. O mercado está cansado disso! A crise de 2008-9 foi causada novamente pela falta de controles mais estratégicos e holísticos.

Gestão da Continuidade de Negócios – Atualmente, a ISO 22301 traz o que precisa ser visto neste ponto. Traduzindo: o empresário precisa implementar este processo formalmente na empresa – seja na Diretoria Financeira ou uma Diretoria de Riscos. O assunto é “GARANTIR A CONTINUIDADE DO NEGÓCIO MESMO EM SITUAÇÕES EXTREMAS”, ou seja: Crises de mercado, Recall, Problemas tecnológicos, interrupções no negócio de qualquer maneira é muito significativa. Para isto, faz-se necessário a realização de uma fase de BIA (Business Impact Analysis) que terá a responsabilidade de entender os vários processos de negócios da empresa, suas dependências de tecnologias, pessoas e parceiros, calcular o impacto da parada no negócio e quanto tempo pode ficar parado, especificando de uma forma qualitativa e quantitativa os possíveis impactos. Achou complicado?
A BIA (sigla em inglês para Análise de Impactos nos Negócios) dentro de uma Gestão de Continuidade é o coração de onde investir, porque investir e para proteger o quê? Ela vai dizer se o processo de vendas pode parar. Por quanto tempo pode parar sem maiores impactos? Quais impactos de imagem, financeiro, legais, sociais, operacionais e ambientais podem ocorrer? E com quantas pessoas, no mínimo, podemos manter uma operação mínima de vendas, por exemplo. Achou útil? Antes de sair comprando tecnologias para contingência ou definir o tamanho do seu local alternativo/de contingência, creio que seja muito prudente realizar isso.
A Gestão de Continuidade ajudará o empresário a definir o que é CRISE para o seu negócio, como preparar-se para uma situação de Gerenciamento de Crise, quem lidera determinados cenários de crise, além de criar todos os planos de contingência/continuidade para Vendas, Compras, Logística, Segurança, TI e outros processos. Mais é preciso considerar primeiro o negócio, depois pessoas, processo e tecnologias.

Gestão de Segurança da Informação – Um processo que NÃO É DE TI. Segurança da Informação é Negócio e não TI, portanto entender o negócio, onde está a informação e de que forma está nos processos é essencial para a empresa. Quem faz isso? Um gerente de segurança da informação. Não aceite imitações! Não é um profissional de TI com uma dose de informação via redes sociais que vai cuidar de assuntos estratégicos destes. Precisa ser um profissional no assunto e entender o que estou mencionando aqui. Você não vai querer conselhos do tipo: Compre o Linux que ele é mais seguro e custa mais barato! O profissional para afirmar isso precisa ter estudado o negócio antes para aí, sim, definir se o Linux é melhor e mais seguro para este tipo de negócio. Utilize a ISSO 27001 como referência.
Governança Corporativa e de TI – A Governança é a parte mais importante da gestão de riscos, pois direciona todo o resto. Ela exige conexões com os demais e serve para alinhar a Direção Estratégica com os demais entregáveis dos processos envolvidos na Gestão de Riscos. Continuidade de Negócios, Segurança da Informação, Responsabilidade Social Corporativa e todos os demais precisam estar alinhados com o Planejamento Estratégico da empresa. Referências: IBGC [Instituto Brasileiro de Governança Corporativa] e ISO 38500.
Gestão de Responsabilidade Social – Um dos pontos mais relevantes atualmente. De que forma os impactos sociais causados pelas organizações podem contribuir? O que podem solucionar independente do governo? O que podem ser afetadas por riscos específicos na Cadeia de Suprimentos, por ex.: trabalho infantil ou escravo. Questões outrora muito superficiais ou subestimadas agora se tornaram importantes diferenciais competitivos e de marketing para as empresas. Este domínio da Gestão de Riscos Estratégicos faz com que a empresa seja mais “humana” e próxima ao cliente. Veja a ISO 16001.

“Em menos de 20 anos saímos de megaestruturas e escritórios amplos para uma racionalização e otimização incrível”


Gestão de Segurança, Saúde e Meio Ambiente – A ISO 14001 apoia integralmente uma gestão adequada e com íntima responsabilidade ambiental.Portanto, a imagem de uma empresa necessita estar associada a boas práticas ambientais. Porém, é aqui que estão os profissionais de infraestrutura, segurança e outras frentes de prevenção e resposta a incidentes essenciais. Durante a montagem de um Plano de Continuidade, eles são chamados de ERT (Emergence Response Teams). Planos de abandono, estar em conformidade com as NRs e regulamentos vigentes são importantes temas e cobrados também durante um PCN – Plano de Continuidade de Negócios.
Conformidade – Quando mencionamos Conformidade significa seguir as leis e regulamentos vigentes e estar em dia com estas obrigações. A confiabilidade pode ser facilmente ampliada com atitudes de respeito social e regulamentar. Não existe ISO para isso; as leis e regulamentos são soberanos em cada região. Lembre-se do mau exemplo do incêndio em Santa Maria/RS e outros casos recentes em cidades como Rio de Janeiro e São Paulo.
Adicionalmente, uma importante CAMADA DE PROTEÇÃO EMPRESARIAL é o CONTROLE INTERNO. Erroneamente, o controle interno está sendo confundido com uma área que tem a responsabilidade de aplicar todos os domínios acima, porém isso é um ERRO. Controle interno é parte, sim, da Gestão de Riscos, mas em uma CAMADA adiante, avançada e que monitora a efetividade dos controles definidos e implementados pelos domínios citados na Figura 1.
Jeferson D’Addario , CBCP, CRIC, MBCI - diretor da DARYUS.

Nenhum comentário:

Postar um comentário